アイデンティティ・サーバーおよびWebPassをインストールした後で、ユーザーの環境内で動作するようにアイデンティティ・システムを設定および構成する必要があります。
この章では、アイデンティティ・システムを設定して必須属性を構成する方法について説明します。次の項目を参照してください。
注意: 設定中は、「次へ」ボタンをクリックするたびに仕様が保存されます。設定を中止して後で設定を再開すると、同じ場所に戻ります。 |
最初のアイデンティティ・サーバーおよびWebPassをインストールした後で、関連付けを完了してシステムを機能させるようアイデンティティ・システムを設定する必要があります。このプロセスは、Webブラウザを使用して完了します。
設定プロセス中に、ディレクトリ・サーバーに関する情報を入力し、Oracle Access Manager固有の情報を使用して、必要なLDAP Personオブジェクト・クラスおよびGroupオブジェクト・クラスを構成します。これによって、アイデンティティ・サーバーはWebPassと関連付けられ、製品ブランチおよび属性が含まれるようにディレクトリ・サーバー・スキーマが拡張されます。たとえば、アイデンティティ・システムでは、Personオブジェクト・クラスおよびGroupオブジェクト・クラスの「フルネーム」、「ログイン」および「パスワード」のセマンティク型への属性の割当てが必要です。詳細は、「Oracle Access Managerのオブジェクト・クラスの概要」を参照してください。
アイデンティティ・システムのアプリケーションを使用する前に、設定プロセス全体を完了する必要があります。設定中、入力した情報は次のページへ進むときに保存されます。設定プロセスは、いつでも中止および再開できます。この場合は、最後の入力の次の質問から続行します。
一部の情報は、更新されたスキーマに基づいて、設定ページに自動的に表示される場合があります。アイデンティティ・サーバーのインストール中にスキーマを自動的に更新しなかった場合は、設定を開始すると、一連のスキーマ変更ページが表示されます。これらのページは見ればわかるので、ここでは説明しません。
この章で説明する設定プロセスは、特定のディレクトリ・サーバーに接続される最初のアイデンティティ・サーバー・インスタンスの作成にのみ適用されます。すべて同じディレクトリ・サーバーに関連付けられる、複数のアイデンティティ・サーバーをインストールする場合があります。2番目以降のアイデンティティ・サーバー・インスタンスの設定プロセスについては、「複数のアイデンティティ・サーバーのインストールの概要」で説明されています。
注意: アイデンティティ・システムの設定を開始する前に、次の重要な考慮点を必ず確認してください。 |
次に示すのは、アイデンティティ・システムを設定する前に注意する必要がある重要な考慮点です。
下位CAによって生成された証明書: ルートCAの証明書は下位CA証明書とともに、ois_chain.pemに存在する必要があります。検証を適切に行い、アイデンティティ・システムを正常に設定するためには、両方の証明書が存在する必要があります。
複数のユーザー・データ・ディレクトリ: 複数のユーザー・データ・ディレクトリおよび検索ベースを使用する場合、アイデンティティ・システムの設定中にメインのユーザー・データ・ディレクトリおよび検索ベースを指定します。『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、設定の完了後に、非結合ネームスペース用のデータベース・プロファイルを1つ以上追加します。
Active Directory: 続行する前に、「Active Directoryに対するインストールと設定の考慮事項」をお読みください。Microsoft Active Directoryフォレスト内にOracle Access Managerをインストールする場合、設定中に次の追加手順が必要です。
「動的補助オブジェクト・クラス」機能について指定を求められた場合は、横のボックスを選択して、この機能を有効化します。
セマンティク型「ログイン」が1つの属性に割り当てられており、マスター管理者として選択した人すべてがログイン属性の値を持っていることを確認します。詳細は、「マスター管理者の構成」および『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
ADSIとともにActive Directoryを使用している場合は、次のことが必要です。
「ADSIの設定(オプション)」で説明されているように、アイデンティティ・システムの設定の前にADSIの設定手順を完了します。
設定中、ディレクトリ・サーバー・タイプを指定するときに「ADSIを有効化」オプションをオンにして、Active Directoryとのネイティブ統合を有効化し、暗黙的フェイルオーバーおよびネイティブ・パスワード変更を可能にします。
これによって、デフォルトのディレクトリ・プロファイルおよび関連付けられたデータベース・エージェントが作成されます。この構成により、デフォルトのID-コンピュータ名表記規則を使用した名前が、ディレクトリ・プロファイル(データベース・エージェント)に自動的に割り当てられます。この名前を、それぞれのドメイン名を反映するように変更して、ユーザー認証を容易にする必要があります。結果のディレクトリ・プロファイルによって、関連付けられたアイデンティティ・サーバーは、暗黙的バインドを使用してActive Directoryツリー内のプライマリ・ドメイン・コントローラですべての操作を実行できます。
Active Directoryアプリケーション・モード: 続行する前に、付録B「ADAMに対するOracle Access Managerのインストール」をお読みください。
Data Anywhere(Oracle Virtual Directory Server): Oracle Virtual DirectoryのためにOracle Access Managerを構成する場合、人およびグループのオブジェクト・クラスについて、inetOrgPersonおよびgroupOfUniqueNamesが必要です。Data Anywhereとともに使用するアイデンティティ・システムを設定する前に、第10章「Oracle Virtual Directoryを使用したOracle Access Managerの設定」を読み、指定されているアクティビティを完了してください。
Novell eDirectory: ブラウザベースの設定の前に、"o=Oblix"(oblixconfig)オブジェクト・クラスが存在する可能性のあるCONTAINMENTオブジェクトの候補として"domain"を定義するには、「Novell eDirectoryの問題」を参照してください。
Oracle Internet Directory: 複数のレルムのインストールおよび複数のディレクトリ・サービスの操作については、『Oracle Access Manager IDおよび共通管理ガイド』でインストール後の詳細を参照してください。Oracle Access ManagerとOracle Internet Directory間の完全な相互作用の実現に関する詳細は、この後のタスクの概要を参照してください。
タスクの概要: Oracle Access ManagerとOracle Internet Directory間の完全な相互作用の実現
アイデンティティ・システムの設定中に、Oracle Internet Directoryによって使用されるユーザー・オブジェクト・クラスおよびグループ・オブジェクト・クラスの指定を求められた場合は、これらのオブジェクト・クラスを指定します。
アイデンティティ・システムの設定中に、orclUserV2オブジェクト・クラスを構成し、この補助オブジェクト・クラスをUser Managerの「従業員」タブに関連付けます。これによって、Oracle Internet Directoryユーザー・エントリ内のorclUserV2属性を、アイデンティティ・システム・コンソールを使用して管理できます。
次の手順は、アイデンティティ・システムの設定中か、または後でアイデンティティ・システム・コンソールを使用してOracle Internet Directory検索ベースを追加することによって、完了できます。
ユーザーまたはオブジェクトを作成したアプリケーション(Oracle Access ManagerまたはOracle Internet Directory)に関係なく、Oracle Access ManagerとOracle Internet Directoryの両方が特定のOracle Internet Directoryインスタンス内のすべての新規ユーザーまたはグループを認識できるようにするために、Oracle Internet Directoryが使用するユーザーとグループ両方の検索ベースを使用するようにアイデンティティ・システムを構成します。
Oracle Internet Directoryによって管理されるグループ・オブジェクト: 次のように、orclGroup補助クラスをOracle Access Managerによって作成されたグループ・オブジェクトにアタッチします。
アイデンティティ・システムの設定後、アイデンティティ・システム・コンソールを使用して補助クラス(orclGroup)を手動で構成します。
Oracle Access Manager Group Managerインタフェースを使用して、この補助オブジェクト・クラスの新規グループ・タイプを構成します。グループ・タイプの構成の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
orclGroupから少なくとも1つの属性を、アイデンティティ・システムによってグループ・オブジェクトの作成のために定義されたワークフローに含めます。これにより、Group Managerによって作成されたグループはorclGroupオブジェクト・クラスに属し、Oracle Internet Directory Oracle Delegated Administration Servicesによって管理できます。
Oracle Internet Directoryで、以前にOracle Access Managerによって「検索可能」とマークされたすべての属性を索引付けします。これにより、LDAPフィルタで使用されるすべての属性を、Oracle Internet Directoryによって検索できます。
次のアクティビティを完了して、User Manager、Group ManagerおよびOrg. Managerに対して検索可能としてマークされた属性を判別します。
アイデンティティ・システム・コンソールで、適切なアプリケーションの構成タブ(「User Manager構成」など)をクリックします。
アプリケーションの構成ページで、「タブ」をクリックし、「既存のタブ」リスト内の名前(「従業員」など)をクリックします。
「タブの表示」ページで、「検索属性の表示」ボタンをクリックします。
前述の手順をすべてのアプリケーション(User Manager、Group ManagerおよびOrg. Manager)およびアプリケーション内の既存の各タブについて繰り返します。
Oracle Directory ManagerまたはOracle Internet Directoryセルフサービス・コンソールを使用して、EMailAdminsGroupがUMAdminsGroupのメンバーではないことを確認します。これにより、アクセス・サーバーの失敗の原因になる可能性がある、際限なく繰り返される検索を防ぎながら、ネストされたグループの検索が可能になります。
注意: Oracle Access ManagerをOracle Internet Directoryとともに使用する場合、LDAP参照および継続参照はサポートされません。 |
WebGateのインストールを開始する前に、表6-1のタスクを完了していることを確認してください。すべての前提条件を満たさない場合、インストールに悪影響を及ぼすことがあります。
表6-1 アイデンティティ・システムの設定の前提条件チェックリスト
チェックリスト | アイデンティティ・システムの設定の前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
|
第4章「アイデンティティ・サーバーのインストール」のアクティビティをすべて完了する。 |
|
第5章「WebPassのインストール」のアクティビティをすべて完了する。 |
|
Oracle Internet Directory: アイデンティティ・システムの設定時に適切なアクティビティを実行できるように、「アイデンティティ・システムの設定の考慮点」に記載されている詳細を確認する。 Novell eDirectory: 「Novell eDirectoryの問題」に記載されている詳細を確認する。 |
アイデンティティ・サーバーの設定を完了する際、記入済のインストール準備ワークシートを参照します。設定プロセスは、わかりやすいように次の手順に分割されています。
「設定プロセスの開始」で説明されているように、プロセスを開始します。
「ディレクトリ・サーバー詳細およびデータの場所の詳細の指定」で説明されているように、ディレクトリ・サーバーおよびデータの場所を指定します。
「オブジェクト・クラス詳細の指定」で説明されているように、Personオブジェクト・クラスおよびGroupオブジェクト・クラスの詳細を定義します。
「オブジェクト・クラス変更の確認」で説明されているように、オブジェクト・クラスの変更を検証します。
「マスター管理者の構成」で説明されているように、システム全体を管理する人を指定します。
「アイデンティティ・システムの設定の完了」で説明されているように、設定を終了します。
この手順を完了して、アイデンティティ・システムの設定を開始します。
注意: WebPassのインストールを確認した直後で、「アイデンティティ・システム・コンソール」設定ページが使用可能になっている場合は、手順2にスキップします。 |
ユーザーの環境に応じて次のURLを指定して、ブラウザからアイデンティティ・システム・コンソールに移動します。次に例を示します。
http://hostname:port/identity/oblix
ここで、hostnameはWebPassのWebサーバーをホストするコンピュータ、portはWebPassのWebサーバー・インスタンスのHTTPポート番号をそれぞれ指し、/identity/oblixはアイデンティティ・システム・コンソールに接続します。
「アイデンティティ・システム・コンソール」リンクをクリックします。
「システム・コンソール」設定ページが表示されます。
「セットアップ」ボタンをクリックします。
アイデンティティ・サーバーのインストール中にスキーマを更新した場合: 「ディレクトリ・サーバー詳細およびデータの場所の詳細の指定」にスキップします。
アイデンティティ・サーバーのインストール中にスキーマを更新しなかった場合: スキーマの変更ページが表示され、手順5を完了します。詳細情報は、「スキーマおよび属性の自動更新と手動更新」を参照してください。
スキーマの変更: スキーマの変更ページが表示された場合、そこで説明されているアクティビティを完了し、続行します。
次に説明する手順を完了します。詳細は、第21章「重要な注意事項」を参照してください。
ユーザー・データおよび構成データが格納されるディレクトリ・サーバーの詳細を指定する必要があります。
注意: Data Anywhereディレクトリ・サーバー・オプションは、ユーザー・データのディレクトリ・サーバー、およびOracle Virtual Directory Server(VDS)との統合についてのみ使用可能です。Data Anywhereとともに使用する最初のアイデンティティ・サーバーを設定する前に、第10章「Oracle Virtual Directoryを使用したOracle Access Managerの設定」を読み、指定されているアクティビティを完了してください。 |
通常、ユーザー・データの詳細が最初に要求され、次に構成データの詳細が要求されます。スキーマ更新中に入力した情報は、通常は設定ページに表示されます。
ユーザー・データと構成データを別々に格納する場合は、ディレクトリ・サーバーの詳細を指定する手順を繰り返します。
ユーザー・データのディレクトリ・サーバーのタイプを指定します。次に例を示します。
Sun
次に、ユーザー・データのディレクトリ・サーバーの場所の指定を求められます。インストール中にスキーマを更新した場合、ほとんどの詳細はすでに入力されています。
インストールに従ってユーザー・データのディレクトリ・サーバー詳細を指定してから、「次へ」をクリックします。次に例を示します。
ホスト: ユーザー・データのディレクトリ・サーバーのDNSホスト名
ポート番号: ユーザー・データのディレクトリ・サーバーのポート番号
ルートDN: ユーザー・データのディレクトリ・サーバーのバインドDN
ルート・パスワード: バインドDNパスワード
ディレクトリ・サーバー・セキュリティ・モード: ユーザー・データのディレクトリ・サーバーとアイデンティティ・サーバーの間で「非保護」または「SSL有効」
Oracleデータもこのディレクトリに格納しますか: 「はい」(デフォルト)または「いいえ」
注意: ユーザー・データが構成データとは別に格納されている場合、同様のページが表示されます。そこで構成データ・ディレクトリの情報を入力します。ただし、その手順についてはここでは省略します。 |
新しいページで、ユーザー・データおよび構成データの場所の指定が求められます。
使用する構成バインドDNおよびユーザー・データ検索ベースを入力します。
たとえば、データを同じディレクトリに格納する場合は次のとおりです。
注意: ユーザー・データと構成データを別々に格納する場合、構成DNおよび検索ベースは一意である必要があります。また、各ディレクトリの詳細は、各フィールドの右側に表示されます。 |
「次へ」をクリックして、「オブジェクト・クラス詳細の指定」に進みます。
アイデンティティ・システムの設定プロセスの次の手順では、Personオブジェクト・クラスおよびGroupオブジェクト・クラスの詳細を求められます。ここでは、次の項目に分けて説明します。
「Oracle Access Managerのオブジェクト・クラスの概要」では、概要について説明します。これらの概念をすでに理解している場合は、スキップできます。
「Personオブジェクト・クラスおよびGroupオブジェクト・クラスの指定」では、このタスクを実行する手順について説明します。
注意: Oracle Internet Directoryとともに動作するアイデンティティ・システムの設定の詳細は、「タスクの概要: Oracle Access ManagerとOracle Internet Directory間の完全な相互作用の実現」を参照してください。 |
ディレクトリ・サーバーで、データはOracle Access Managerによってオブジェクトとして格納されます。各オブジェクトは、アイデンティティ・システムの各アプリケーションのプロファイル・ページに表示される属性とその値で構成されます。すべてのオブジェクトは、オブジェクト・クラスに関連付けられます。
アイデンティティ・システムには独自のオブジェクト・クラスがあり、ディレクトリ・サーバー・スキーマに追加する必要があります。これらのオブジェクト・クラスは接頭辞obで始まり、アイデンティティ・システムの機能情報が含まれています。アイデンティティ・システムの設定後に、追加のオブジェクト・クラスを構成できます。
Oracle Access Managerには、少なくとも1つのPersonオブジェクト・クラスとGroupオブジェクト・クラスが必要です。アイデンティティ・システムのアプリケーションにログインする前に、これらを設定する必要があります。詳細は、「Personオブジェクト・クラスおよびGroupオブジェクト・クラスの概要」を参照してください。
注意: 時間を節約しエラーをなくすために、アイデンティティ・システムの設定中にPersonオブジェクト・クラスとGroupオブジェクト・クラスの両方を自動的に構成することをお薦めします。 |
自動構成によって、Personオブジェクト・クラスおよびGroupオブジェクト・クラスに属性が追加されます。特に、デフォルトの表示名、セマンティク型および表示タイプの属性が追加されます。アイデンティティ・システムのアプリケーションにログインする前に、「フルネーム」、「ログイン」および「パスワード」のセマンティク型に属性を割り当てる必要があります。
設定後に、必要に応じて属性を再構成して、独自のオブジェクト・クラスおよび属性を定義し、エンタープライズに固有の要件を組み込むことができます。
次の手順を完了して、Personオブジェクト・クラスおよびGroupオブジェクト・クラスの詳細を指定します。推奨の「自動構成」オプションを使用しない場合は、「属性の手動構成」で説明されているように、手動で行う必要があります。ここでは一部のページのみを示して、完了した設定ページを説明します。
注意: Oracle Virtual DirectoryのためにOracle Access Managerを構成する場合、ユーザーおよびグループのオブジェクト・クラスについて、inetOrgPersonおよびgroupOfUniqueNamesが必要です。 |
Personオブジェクト・クラスおよびGroupオブジェクト・クラスの詳細の指定の手順
User ManagerのPersonオブジェクト・クラスを入力します。次に例を示します。
前述のとおり、設定プロセスを効率化するために、「自動構成オブジェクト・クラス」機能がデフォルトで有効化されています。この設定プロセスの後半で、自動構成を検証して確定または変更できます。オブジェクト・クラスを手動で構成する場合は、この機能を無効化できます。
ここでの指示は、Personオブジェクト・クラスとGroupオブジェクト・クラス両方の自動構成に基づいています。
「次へ」をクリックして、Personオブジェクト・クラスの構成を完了します(または、「自動構成オブジェクト・クラス」を無効化して、「次へ」をクリックします)。
「Groupオブジェクト・クラス」ページが表示されます。
Group ManagerのGroupオブジェクト・クラスを入力し、「次へ」をクリックして、Groupオブジェクト・クラスの構成を完了します。次に例を示します。
グループ・オブジェクト・クラス: GroupofUniqueNames
次に表示されるページで、アイデンティティ・システムの再起動を求められます。アイデンティティ・サーバーによるオブジェクト・クラスの自動構成にかかる時間が、Webブラウザのタイムアウトを超える場合があります。アイデンティティ・サーバーを待機しているときにブラウザがタイムアウトした場合は、1、2分待ってからブラウザの「更新」ボタンをクリックして続行します。
WebPassのWebサーバー・インスタンスを停止します。
アイデンティティ・サーバー・サービスを停止して再起動します。
WebPassのWebサーバー・インスタンスを開始します。
アイデンティティ・システムの設定ウィンドウに戻り、「次へ」をクリックします。
アイデンティティ・システムの再起動後に行う作業は、設定であらかじめ選択した更新メソッドによって異なります。次に例を示します。
Personオブジェクト・クラスまたはGroupオブジェクト・クラスを自動的に構成することを選択した場合は、「オブジェクト・クラス変更の確認」に進みます。
Personオブジェクト・クラスまたはGroupオブジェクト・クラスの自動構成を無効化した場合は、「属性の手動構成」に進みます。
この設定中、自動的に行われたオブジェクト・クラスの変更内容が表示されます。指定されたオブジェクト・クラスの変更内容を確認し、「はい」をクリックして確定します。「いいえ」をクリックすると、「属性の構成」機能を起動して修正を行うことができます。
次の手順は、Personオブジェクト・クラスとGroupオブジェクト・クラス両方の自動構成を有効化したことを前提としています。
Personオブジェクト・クラス属性リストを確認します。
「はい」をクリックして、変更を確定します(または、「いいえ」をクリックして「属性の構成」機能を起動します)。
「はい」の場合、手順3に進みます。
「いいえ」の場合、「属性の手動構成」に進みます。
Groupオブジェクト・クラス属性リストを確認し、「はい」をクリックして変更を確定し(または、「いいえ」をクリックして変更を拒否し)、次のように進みます。
「はい」の場合、「マスター管理者の構成」に進みます。
「いいえ」の場合、「属性の手動構成」に進みます。
オブジェクト・クラスおよび属性を構成した後で、インストールおよびシステム全体のマスター管理者として1名以上を指定することを求められます。
注意: マスター管理者として適切なPersonオブジェクト・クラスを持つ人を選択してください。 |
マスター管理者は、すべての構成機能および管理機能にアクセスできます。これには、他の管理者を割り当て、他の管理者が実行できるすべてのタスクを実行する権限も含まれます。たとえば、設定プロセスの後で、マスター管理者は次の管理者を1名以上割り当てることができます。
マスター・アクセス管理者。WebGate、アクセス・サーバー、認証パラメータ、ポリシー・ドメインの初期セットなどのアクセス・システムを構成する権限を持ちます。これには、個人を委任アクセス管理者のロールに割り当てる権限も含まれます。
詳細は、『Oracle Access Manager IDおよび共通管理ガイド』および『Oracle Access Managerアクセス管理ガイド』を参照してください。
「管理者の構成」設定ページで、「管理者」の横の「ユーザーの選択」ボタンをクリックします。
「セレクタ」ページが表示され、2つの検索基準リスト、検索する最低3文字を入力する空のフィールドおよび結果を表示するためのボタンが示されます。
左上にある2つのドロップダウン・リストから検索基準を選択し(「フルネーム」と「次を含む」など)、空のフィールドに最低3文字を入力し、「実行」ボタンをクリックして、必要な人を検索します。
検索結果が、基準の下に表示されます。デフォルトでは、(「実行」ボタンの横のフィールドに示されているように)8個の結果が表示されます。「前へ」および「次へ」ボタンを使用して、必要に応じて結果内を移動できます。
左側の制御ボタンにより、リスト内のすべての人を追加(「すべて追加」)または、個人を追加(必要な名前の横の「追加」ボタンを選択)できます。いずれかのボタンを選択すると、追加する名前がウィンドウ右側の「選択」の下に表示されます。
マスター管理者として割り当てる人の名前の横の「追加」ボタンをクリックします。
追加した名前が、ウィンドウ右側の「選択」の下、および左側の両方に表示されていることを確認します。
手順3で行った名前の追加を続行できます。また、名前の横の削除ボタンまたは「すべて削除」ボタンを使用して、「選択」リストから名前を削除できます。
「完了」をクリックして元の「管理者の構成」ページに戻り、追加する人が「管理者」の横に表示されていることを確認します。
「次へ」をクリックします。
データ・ディレクトリの保護ページが表示され、アイデンティティ・システムの設定の後で実行する内容が示されます。
データ・ディレクトリの保護ページには、アイデンティティ・システムのセキュリティの維持のために保護する必要があるOracle Access Managerのディレクトリが表示されます。また、次の両方の点からも保護する必要があります。
ブラウザからのアクセスおよびファイル・システムを介してディレクトリにアクセスするネットワーク・ユーザーからのアクセスを制限します。ディレクトリを保護する方法に関する指示が必要な場合は、使用中のWebサーバーおよびオペレーティング・システムのドキュメントを参照してください。
Oracle Access Managerポリシー・ドメイン内のアイデンティティ・システムを保護します。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
「完了」をクリックして、アイデンティティ・システムの設定を完了します。
アイデンティティ・システムのログイン・ページが表示されます。アイデンティティ・システムの設定および最小限の構成が完了しました。
このアイデンティティ・サーバーのデフォルトのディレクトリ・プロファイルが、アイデンティティ・システム・コンソールで使用可能です。
次のタスクを任意で実行します。
「他のアイデンティティ・サーバー・インスタンスの設定」で説明されているように、複数のアイデンティティ・サーバー・インスタンスを設定します。
「ポリシー・マネージャのインストール」で説明されているように、最初のアクセス・システム・コンポーネントをインストールします。
マスター管理者としてアイデンティティ・システムにログインし、『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、次のタスクを任意で完了します。
次に例を示します。
「アイデンティティ・システム・コンソール」→「システム構成」→「ディレクトリ・プロファイル」→link_to_this_profileを選択して、このアイデンティティ・サーバーのディレクトリ・サーバー・プロファイルを表示します。
User Manager、Group Manager、Organization Managerで、パネルを設定します。
User Managerでオブジェクトベースの検索ベースを設定します。
User Manager、Group ManagerまたはOrganization Managerで、アクセス制御を設定します。
ワークフロー定義を作成します。
メール・サーバーやセッション設定などのオプションを構成します。
属性構成機能は、アイデンティティ・システムが機能するために必要な最小限の構成を手動で完了する場合や、設定中に自動的に構成された属性を微調整する場合に役立ちます。ここでの手順を使用して、設定後にいつでも属性を変更できます。
「属性の構成」ページは次の状況で表示されます。
アイデンティティ・システムの設定中に「自動構成オブジェクト・クラス」を無効化して、アイデンティティ・サーバーおよびWebサーバーを再起動した場合。
アイデンティティ・システムの設定中に「自動構成オブジェクト・クラス」を有効化して、アイデンティティ・サーバーおよびWebサーバーを再起動し、構成が正しいかどうかの指定を求められたら「いいえ」をクリックした場合。
設定後に、「アイデンティティ・システム・コンソール」を選択し、「共通構成」を選択し、「オブジェクト・クラス」を選択して、次にobject_class_linkを選択し、「属性の変更」を選択して、「属性の変更」ページに移動した場合。
Novell Directory Server(NDS)は、属性およびオブジェクト・クラス名を、ネイティブ・ディレクトリ・サーバーからNDSのLDAPレイヤーにマップします。一部の属性またはオブジェクト・クラスは、LDAPレイヤー内に複数のマッピング(別名)を持ちます。たとえば、ネイティブNDSオブジェクト・クラスはGroupですが、NDSのLDAPレイヤーはGroupofNamesおよびGroupofUniqueNamesという2つの別名をマップします。
Oracle Access ManagerおよびNDSの正しい機能の確認の手順
構成中に指定したオブジェクト・クラスまたは属性名が、同じオブジェクト・クラスまたは属性の他のマッピングよりも前にあることを確認します。
consoleOneによって、マッピングの順序を確認します。
次の手順を使用して、Personオブジェクト・クラスおよびGroupオブジェクト・クラスを手動で設定します。
最小限のPersonオブジェクト・クラス属性セットの定義の手順
「属性の構成」ページの属性リストで、次のPersonオブジェクト・クラス属性の詳細を選択または入力します。
属性: Personオブジェクト・クラスのクラス属性。多くの場合、cnです。
表示名: 「名前」または「フルネーム」
セマンティク型: 「DN接頭辞」および「フルネーム」
表示タイプ: 「単一行テキスト」
属性値: 「単一」
「保存」をクリックしてから、「OK」をクリックして確認メッセージを閉じます。
属性リストで、次の詳細を選択または入力して、ログインID属性を定義します。
属性: ユーザーのログインIDを定義する属性。多くの場合、uid属性です。
表示名: ログインIDなど
セマンティク型: 「ログイン」
表示タイプ: 「単一行テキスト」
属性値: 「単一」
「保存」をクリックしてから、「OK」をクリックして確認メッセージを閉じます。
属性リストで、次の詳細を選択または入力して、姓属性を定義します。
属性: ユーザーの姓を定義する属性。多くの場合、snです。
表示名: (姓など)
表示タイプ: 「単一行テキスト」
属性値: 「単一」
「セマンティク型」は指定しません。
「保存」をクリックしてから、「OK」をクリックして確認メッセージを閉じます。
属性リストで、次の詳細を選択または入力して、ユーザー・パスワード属性を定義します。
属性: ユーザー・パスワードを定義する属性。多くの場合、passwordまたはuserPassword属性です。
表示名: パスワードなど
表示タイプ: 「パスワード」
属性値: 「パスワード」
属性値: 「単一」
「保存」をクリックしてから、「OK」をクリックして確認メッセージを閉じます。
「次へ」をクリックして、Groupオブジェクト・クラスを構成するページに進みます。
Groupオブジェクト・クラス属性の最小限のセットの指定の手順
属性リストで、次の詳細を選択または入力します。
属性: グループ名を定義する属性。多くの場合、cn属性です。
表示名: グループ名など
セマンティク型: 「DN接頭辞」および「フルネーム」
表示タイプ: 「単一行テキスト」
属性値: 「単一」
「保存」をクリックしてから、「OK」をクリックします。
必要に応じて、次の手順に進みます。
『Oracle Access Manager IDおよび共通管理ガイド』で説明されているアイデンティティ・システム用のAccess Manager SDKの構成
アイデンティティ・システムの一部の機能では、Access Manager SDKが必要です。デフォルトでは、Access Manager SDKは、\IdentityServer_install_dir\identity\AccessServerSDKの下のサブディレクトリにインストールされます。アイデンティティ・システムの設定後、アイデンティティ・システムでこれらの機能を有効化するには、SDKを手動で構成する必要があります。
表6-2に、追加のアイデンティティ・サーバー・インスタンスを設定する前に完了する必要があるタスクを示します。
表6-2 追加のアイデンティティ・サーバーの設定準備
チェックリスト | 追加のアイデンティティ・サーバーの設定の前提条件 |
---|---|
第I部「インストールの計画と前提条件」で説明されている、ユーザーの環境に適用される前提条件および要件がすべて満たされていることを確認する。 |
|
第II部「アイデンティティ・システムのインストールおよび設定」で説明されているように、アイデンティティ・サーバーをインストールする。 |
|
「アイデンティティ・システムの設定」アクティビティをすべて完了する。 |
|
「アイデンティティ・サーバーのインストール」で説明されているように、追加のアイデンティティ・サーバーをインストールする。 |
インストールされた追加のアイデンティティ・サーバーの設定には、元の設定プロセスのサブセットのみが含まれます。
アイデンティティ・サーバーの設定およびWebPassとの関連付けの手順
まだ行っていない場合は、すべてのアイデンティティ・サーバー・サービスを停止します。
新規アイデンティティ・サーバー・サービスのみを起動します。
アイデンティティ・システム・コンソールに移動します。
http://hostname:port/identity/oblix/
WebPassは、元のアイデンティティ・サーバーに接続しようとします。接続できない場合、WebPassは新規アイデンティティ・サーバーに接続し、設定ページを起動します。
「セットアップ」をクリックし、「アイデンティティ・システムの設定」の指示に従ってアイデンティティ・サーバーを設定します。
設定中に指示された場合は、新規アイデンティティ・サーバー・サービスを再起動します。
他のアイデンティティ・サーバー・サービスを再起動します。
必要に応じて、インストールされた追加のアイデンティティ・サーバーごとに繰り返します。